על supply chain והחובה לאבטח אותה

למה ואיך ארגונים צריכים להקפיד על אבטחת המידע של הספקים שלהם?

ממש היום מתפוצצת הפרשה הנוספת על אלקטור – שבמסגרתה נעם רותם ועומר כביר חשפו בכלכליסט ששוב היתה באלקטור פרצה נוספת. עשיתי גם פולואפ בהארץ. בגילוי הזה הסתבר שהיה עוד API חשוף שהביא את הkeys וה-secrets של אלקטור ומשם הדרך לקבל את הסנאפשוטים של מסד הנתונים היתה קצרה.

אני לא רוצה להכנס לפרטי הפירצה כי כבר כתבו עליה וגם אני חפרתי בפייסבוק ואין לי משהו טכני נוסף לציין – אבל כן יש לי משהו לכתוב על supply chain לאור שאלות רבות שעלו בפיד שלי גם בהקשר של הפרצה הקודמת. שאלות שלמשל ניר אלקבץ שאל בטוויטר ומתי הורוביץ שאל בפייסבוק.

בפרצה הקודמת וגם בזו, כללתי בהאשמות לא רק את חברת אלקטור אלא גם את מפלגת הליכוד. וזה נראה מאוד לא הוגן. למה? למה בדיוק הליכוד אשם בפריצה ודליפת מידע עצומה מהספק הקקמייקה שלו? הרי אם יפרצו למשל לחברת גוגל ויקחו משם מידע שכתבתי בג׳ימייל שלי – האם אפשר להאשים אותי? גוגל זה הספק – האחריות היא של גוגל, לא?

זהו שלא. שניה, לא לקפוץ. אני אסביר.

הספקים השונים שאנו משתמשים בהם הם חלק מ״שרשרת האספקה״ – חוליות רבות שנמצאות בדרך מחומרי ״הגלם״ עד ל״מוצר״ שהלקוח מקבל. הרבה פעמים יש פרצות/חולשות בשרשרת הזו. הדוגמה הקלאסית היא הפרצה שארעה ב-nagich שהפילה כמיליון דפים. בגדול הפרצה הזו היתה בתוסף נגישות שהמון אתרים השתמשו בו ושהאקרים פרצו אליו ודרכו הצליחו לעשות התקפת XSS על כל מי שהשתמש בתוסף הנגישות. מי אשם? גם nagich אבל גם האתרים עצמם שלא הטמיעו CSP מסודר שהיה מונע טעינה של התוסף במקרה של שינוי.

דוגמה קלאסית נוספת היא הדוגמה של הפריצה ל-copay, שבה השתמשו הפורצים ב-package מורעל. מי אשם בפירצה הזו? בת׳כלס? copay, שלא וידאו שבבילד שלהם אין שינויי גרסאות.

וזו הסיבה שבפיתוח מאובטח אנו מקפידים גם על הספקים שלנו. אם זה תוסף וורדפרס, אנו נוודא שמדובר בתוסף מוכר היטב ונעדכן אותו כל הזמן. אם זה מודול של npm, גם נבדוק שהוא פופולרי וגם נריץ עליו את סניק (למשל) או npm audit.

ואם אתם צריכים אסמכתא מקצועית נוספת – אז הנה, מערך הסייבר, שאני מעריך מבחינה מקצועית, קובע באופן חד משמעי בתורת ההגנה הארגונית שלו שארגונים צריכים לבצע אבטחה של שרשרת האספקה:

פעילותם של ארגונים רבים תלויה בשירותים שהם רוכשים מספקים חיצוניים. שירותים אלו יכולים להיות קבלני משנה שמייצרים רכיבים ממוחשבים, ספקים של שירותי מחשוב שונים, אפליקציות שבשירות הארגון וכו'. שירותים אלו יכולים להיות בעלי קישוריות אל מערכות הארגון, ועל כן עלולים להוות ערוץ תקיפה כנגד הארגון. בהתאם לכך, על הארגון להגן על עצמו מפני פגיעה העשויה להגיע מצד ספקיו. הוא עושה זאת באמצעות דרישות משפטיות וחוזיות להגנה בסייבר מספק השירות, באמצעות סקרי ספקים לבחינת מנגנוני ההגנה בסייבר שלהם, באמצעות נוהלי עבודה מול הספק וכו'.

אבל איך??? איך למען השם אני יכול לעשות את זה לספק? מה, ללכת ולדרוש מגוגל להסתכל על הקוד? לסרוק כל שורה של גוגל קלאוד?

אז לא. אבל כפי שמערך הסייבר קובע – יש צורך בנהלי עבודה. למשל:

1. בדיקה שלספק יש מומחה אבטחה מטעמו שמלווה את הפרוייקטים שלו.
2. הערכת סיכונים פנימית מתועדת בארגון על כל מוצר שמשתמשים בו.
3. ביקורת על מה מעבירים לספק ומה לא.

אם זו חברה עצומה שאין סיכוי שמישהו יתייחס אליכם שם, מספיק תיעוד של קבלת ההחלטות הזו ותיעוד של איזה מידע מעבירים לספק הזה ואיך מגינים עליו. למשל, אם החלטתי כן להשתמש בגוגל אקסל – אני יכול לקבל החלטה שאני לא מכניס לשם פרטים רפואיים רגישים, או שאני מאפשר את השיתוף רק לעוד שני אנשים. אם זה ספק קטן, אפשר וצריך להעביר אליו שאלון מפורט. גם פה מערך הסייבר נחלץ לעזרתנו ומסייע לנו עם שאלון שאפשר להעביר לספק שלנו. זה מקובל מאוד במיוחד אם אתם ארגון גדול שיש לו הרבה מידע..

אם אתם מנהלי ארגון או חברה, תעדו את כל הספקים החיצוניים שלכם: מי שאפשר, העבירו אליו שאלון ודירשו מענה. מי שאי אפשר – קיימו דיון מסודר ותעדו אותו.

אז בדוגמה שלנו עם גוגל: אם פרצו לגוגל והארגון שלך יכול להראות שבוצעה הערכת סיכונים, תהליך מסודר, הערכה ובדיקה של המידע שאנחנו מעבירים לגוגל. אז הארגון יכול להיות נקי מאשמה. אם הוא השתמש במוצר כמו שצריך כמובן ובהתאם לרשיון. אבל אם השתמשת בגוגל על הדרך ואחסנת פרטים סופר חשובים שלא אמורים להיות שם – זו אשמת הארגון.

במקרה של הפרצות האחרונות של אלקטור – לליכוד אין אחראי אבטחת מידע שיכול לבוא ולענות על שאלות, ובטח ובטח שהוא לא ציין שום הליך כזה והראה את הפרוטוקול ואת ההחלטות שהתקבלו. למה? כי הליכוד הוא ארגון מעולה בדיגיטל אבל מאוד גרוע באבטחת מידע. והשילוב הזה גרם לנזק מהחשיפה להיות כבד מאוד. אל תעמדו במקום שלו – תעדו היטב כל שימוש של ספק צד שלישי באתר שלכם, במערכת שלכם או בכל דבר הקשור למידע שלכם.

גם אם אתם בעלי עסק קטן, כדאי מאוד להשקיע שעה שעתיים מהחיים שלכם ולתעד כל ספק שלכם בצירוף פסקה קטנה על למה החלטתם לבחור בו. זה גם יעזור לכם להבין בכמה ספקים אתם משתמשים.

הערה קטנה אך קריטית: החשיפות האחרונות נעו בתפר העדין שבין פוליטיקה לטכנולוגיה. אני לא אדם מפלגתי ונדיר שאני מתייחס למפלגות או להליך פוליטי. אין מפלגה שאני תומך בה ואני נטול בית פוליטי וגם הדעות שלי משתנות כל הזמן. אני אשמח אם התגובות יהיו מנותקות מההקשר הפוליטי כי חלאס.

פוסטים נוספים שכדאי לקרוא

תמונת תצוגה של מנעול על מחשב
פתרונות ומאמרים על פיתוח אינטרנט

הגנה מפני XSS עם Trusted Types

תכונה ב-CSP שמאפשרת מניעה כמעט הרמטית להתקפות XSS שכל מפתח ווב צריך להכיר וכדאי שיכיר.

גלילה לראש העמוד